責任ある人工知能（AI）の利用に対するAvettaの取り組み

Avettaでは、人工知能（AI）は、グローバルサプライチェーン全体において、信頼を強化し、安全性を向上するとともに、適切な意思決定を支援すべきであると考えています。弊社は、製品の機能強化、社内業務の支援、ならびに顧客への価値提供を目的として、責任ある形で慎重にAIの開発および展開に取り組みながら、透明性、説明責任、および強固な安全対策を維持しています。

AIの利用目的

Avettaはグローバルサプライチェーン全体の安全性とコンプライアンス、効率性の改善という使命を支援するために、人工知能を利用しています。Avettaの特定の製品には、顧客の業務効率の改善、潜在的なリスクの早期特定、データ処理およびインサイトの一貫性と正確性の向上を支援することを目的として、AI搭載機能が組み込まれている場合があります。これらの機能は人間の判断や意思決定を支援するよう設計されたものであり、人間と置き換わるものではありません。

AvettaにおけるAIの利用と導入は、Avettaの包括的なガバナンス、セキュリティ、コンプライアンスの枠組みと整合する、データ保護や正確性、透明性、ならびに適切な人間による監督を重視する社内ポリシーおよび統制によって管理されています。

AI基本原則

AvettaにおけるAIの開発、展開、および利用は、以下の原則に従います。

人間による監視と責任

AIは支援ツールとして機能するものであり、意思決定の当事者となるものではありません。弊社は、複数のレベルにおいて人間による確認およびガバナンスを維持しており、特にAIの出力がコンプライアンス、安全性、またはリスクに関連する結果に影響を及ぼす可能性がある場合には、これを徹底しています。これには、弊社の社員による内部監視、並びに顧客がAI生成のコンテンツを承認、変更、または拒否できるユーザーコントロールが含まれます。決定の最終的な責任は常に人間が負うものであり、AIシステムではありません。

透明性と目的主導の利用

弊社は、安全性と効率性、コンプライアンス、ならびにサプライチェーンのレジリエンスの改善に整合する、明確に定義された正当な事業目的の下でAIを導入します。AI対応機能がユーザー向けの出力を生成する場合、当該出力がAIにより生成されたものであること、またはAIに関連するものであることを明示します。これにより、ユーザーが当該出力を利用する際や、これに基づいて行動する際に、十分な情報に基づいた意思決定を下せるようにします。

公平性、信頼性、およびリスク認識

弊社は、AIシステムが適切に管理されない場合、エラーや意図せぬバイアスが生じる可能性があると認識しています。Avettaは、AIの導入前にユースケースを通じて関連性、信頼性、公平性を評価し、継続的にこれらを監視することで、意図せぬバイアス、モデルドリフト、精度の低下などのリスクを特定し、低減します。

プライバシーとデータ保護

顧客データの保護は、AvettaのAI利用における基盤となります。弊社は、顧客データのライフサイクル全体にわたり、機密性、完全性、および適切な利用を維持するための保護措置を備えたAI対応システムを設計し、運用しています。

Avettaは、アクセス管理、暗号化、ログ記録、監視など、包括的な情報セキュリティおよびプライバシープログラムと整合したデータ保護対策をAI対応システムに適用しています。顧客データは、該当契約（データ処理契約を含む）、プライバシー通知、およびデータ保護法に従い、正当かつ明確に定義されたビジネスの目的のためにのみ利用されます。

ガバナンス、ポリシー、および制御

Avettaは、AI対応製品および社内でのAIの利用の両方を規定するポリシー、ガイドライン、および審査プロセスを維持しています。これには、以下が含まれます。

• 従業員や請負業者、ベンダーが事業目的でAIを利用する際の方法に関する明確なルール
• 新しいAIツールやAI対応機能を審査および承認するためのプロセス
• 組織全体で使用されているAIシステムのインベントリおよびリスクに基づいた審査
• テクノロジー、規制、ベストプラクティスの進化に応じた継続監視と更新

法令遵守とEU AI法の位置づけ

Avettaは、AIの利用に際し、EU AI法（EU Artificial Intelligence Act）をはじめとするAI関連の規制枠組みを含め、適用される法令および規制を遵守することに取り組んでいます。

EU AI法の役割ベースの枠組みの下で、Avettaは、AIのユースケース利用状況に応じて、AIシステムの提供者、導入者（ユーザー）、またはその両方として機能する場合があります。Avettaは、個別に役割を評価し、適用される規制上の義務に準じたガバナンス措置を講じます。

Avettaは、EU AI法に準拠したリスクベースアプローチを採用し、AIガバナンスを実施しています。これには、意図された目的と潜在的な影響に基づくAIシステムの評価、人間による適切な監視体制の導入、必要に応じた透明性および文書化の適用、そして既存のプライバシー、セキュリティ、ベンダーリスクプロセスへのAIに関する懸念事項の統合が含まれます。

AIの規制が世界中で進展しているため、Avettaでは法的な変更を注視しており、適用要件や顧客の期待との整合性を維持するために、ポリシーやプロセス、管理体制を適宜更新しています。

責任あるベンダーと第三者によるAI管理

弊社のAI機能およびその性能の一部は、信頼できるプロバイダーが提供する技術に依拠しています。Avettaは、AIプロバイダーに対しても、他の重要なサービス提供者の評価と一貫した方法で、既存のベンダー管理、セキュリティ、および法的審査プロセスを適用しています。

第三者のAIプロバイダーはAvettaとの契約に基づき、データ処理者として業務委託されており、顧客データを保護し、契約上のAIの特定機能にのみそれらのデータを使用し、該当するセキュリティ、プライバシー及び法的義務を遵守することが義務付けられています。

Avettaは、第三者のAIプロバイダーがAIモデルの改善、トレーニングあるいはその他の目的で顧客データを使用することを禁じています。また、弊社はAIベンダーによるデータの処理、保管、保護および削除の方法を評価しています。さらに、データ保持期間を定め、Avettaのデータ保護基準に基づき、契約した機能の提供に必要な期間を超えて顧客データが保持されないよう管理しています。

セキュリティ、認証、および独立監査

Avettaは、会社規模で情報セキュリティおよびプライバシープログラムを維持しており、クラウド型SaaSプラットフォームや、AI対応機能に関わる業務プロセスにもこれらが適用されます。

ISO 認証

Avettaは、情報セキュリティ管理システム（ISMS）、プライバシー情報管理システム（PIMS）および事業継続マネジメントシステム（BCMS）を維持しており、これらは以下の国際的に認められたISO標準に基づき、独立した第三者機関による認証を受けています。

• ISO/IEC 27001:2022 - 情報セキュリティ管理
• ISO/IEC 27017:2015 - クラウドセキュリティ管理策
• ISO/IEC 27018:2019 - クラウドサービスにおける個人情報データ保護
• ISO/IEC 27701:2019 - プライバシー情報管理
• ISO/IEC 22301:2019 - 事業継続マネジメント

これらの認証は、Avettaのクラウド型SaaSプラットフォームと関連業務機能をサポートするシステム、プロセス、および制御を対象としています。

SOC 2 Type II 監査

Avettaは、セキュリティおよび機密性のためのトラストサービス基準を網羅したSOC 2 Type IIの独立監査を毎年受けています。監査では、特定監査期間中のAvettaの統制の設計および運用上の有効性が評価されます。

Avettaのお客様には、弊社のトラストセンターからISO認証およびSOC 2 Type IIレポートをご確認いただけます。トラストセンターは、Avettaのセキュリティ、コンプライアンス、プライバシーに関する文書にアクセスできる安全なポータルサイトです。アクセスする文書によっては、非開示契約事項を承認する必要があります。トラストセンターへは、https://trust.avetta.comからアクセスしていただけます。

詳細に関するお問い合わせ：

弊社のAI慣行に関するご質問、コンプライアンス文書のご要望、または一般的なご質問については、compliance@avetta.comにご連絡ください。

プライバシー関連、あるいはデータ保護に関する権利行使については、privacy@avetta.comにご連絡ください。